Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AD FS
Questo tutorial mostra come utilizzare AD FS come provider di identità (IdP) per accedere al cluster Amazon Redshift.
Passaggio 1: configura AD FS e il tuo AWS account in modo che si fidino l'uno dell'altro
La procedura seguente descrive come impostare una relazione di fiducia.
-
Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di AD FS. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.
-
Configura AD FS per controllare l'accesso di Amazon Redshift nella Console di gestione Microsoft:
-
Scegli ADFS2.0, quindi scegli Aggiungi Relying Party Trust. Nella pagina Add Relying Party Trust Wizard (Aggiunta guidata relazione di trust), scegliere Start (Avvia).
-
Nella pagina Select Data Source (Seleziona origine dati), scegliere Import data about the relying party published online or on a local network (Importa dati sul relying party pubblicati online o in una rete locale).
-
Per l'indirizzo dei metadati della Federazione (nome host oURL), inserisci.
https://signin.aws.amazon.com/saml-metadata.xml
Il XML file di metadati è un documento di SAML metadati standard che viene descritto AWS come relying party. -
Nella pagina Specify Display Name (Specificare nome visualizzato), immettere un valore per Display name (Nome visualizzato).
-
Nella pagina Choose Issuance Authorization Rules (Scegli regole di autorizzazione di emissione), scegliere una regola di autorizzazione di emissione per consentire o rifiutare a tutti gli utenti l'accesso a questo relying party.
-
Nella pagina Ready to Add Trust (Pronto ad aggiungere trust), rivedere le impostazioni.
-
Nella pagina Finish (Termina), scegliere Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Apri la finestra di dialogo Modifica regole di registrazione per questa relazione di trust quando si chiude la procedura guidata).
-
Nel menu di scelta rapida, scegliere Relying Party Trusts (Relazione di trust).
-
Per il relying party, aprire il menu contestuale e scegliere Edit Claim Rules (Modifica regole di registrazione). Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola).
-
Per il modello di regola di reclamo, scegli Trasforma un reclamo in entrata, quindi nella NameId pagina Modifica regola — procedi come segue:
-
Per il nome della regola di reclamo, inserisci NameId.
-
In Incoming claim name (Nome registrazione in ingresso), scegliere Windows Account Name (Nome account Windows).
-
In Outgoing claim name (Nome registrazione in uscita), scegliere Name ID (ID nome).
-
In Outgoing name ID format (Formato ID nome in uscita), scegliere Persistent Identifier (Identificatore persistente).
-
Scegliere Pass through all claim values (Passaggio di tutti i valori di registrazione).
-
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Seleziona modello di regola, per il modello di regola di reclamo, scegli Invia LDAP attributi come reclami.
-
Nella pagina Configure Rule (Configura regola), procedere come segue:
-
In Claim rule name (Nome regola di attestazione), inserisci RoleSessionName.
-
In Attribute store (Archivio attributi), scegliere Active Directory.
-
Per LDAPAttributo, scegli Indirizzi e-mail.
-
Per Tipo di attestazione in uscita, scegli https://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).
-
Nella pagina Edit Rule – Get AD Groups (Modifica regola — Ottieni AD), per Claim rule name (Nome regola registrazione), immettere Get AD Groups (Ottieni gruppi AD).
-
Per Custom rule (Regola personalizzata), immettere quanto segue.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).
-
Nella pagina Edit Rule – Roles (Modifica regola - Ruoli), in Claim rule name (Nome regola di registrazione), digitare Roles (Ruoli).
-
Per Custom rule (Regola personalizzata), immettere quanto segue.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Annota ARNs il SAML provider e il ruolo da assumere. In questo esempio,
arn:aws:iam:123456789012:saml-provider/ADFS
è il ARN SAML fornitore earn:aws:iam:123456789012:role/ADFS-
ARN il ruolo.
-
-
Accertarsi di aver scaricato il file
federationmetadata.xml
. Verificare che il documento non contenga caratteri non validi. Questo è il file di metadati utilizzato durante la configurazione della relazione di trust con AWS. -
Crea un provider di IAM SAML identità sulla IAM console. Il documento di metadati che fornisci è il XML file di metadati di federazione che hai salvato quando hai configurato l'applicazione Azure Enterprise. Per i passaggi dettagliati, vedi Creazione e gestione di un provider di IAM identità (console) nella Guida per l'utente. IAM
-
Crea un IAM ruolo per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione di un ruolo per SAML nella Guida per l'IAMutente.
-
Crea una IAM policy da allegare al IAM ruolo creato per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione IAM di politiche (console) nella Guida IAM per l'utente. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione JDBC ODBC Single Sign-On.